The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw и established"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw и established"  
Сообщение от Evgeniy email(??) on 20-Май-06, 13:41 
Добрый день!

На одном сайте увидел такой вариант настройки фаервольных правил, где одним из первых было такое:

${FwCmd} add pass tcp from any to any established

Т.е. если разрешающие правила следующие за этим отработали и соединение было установлено, то все следующие пакеты будут с установлеными битами RST и ACK, которые будут пропущены этим правилом.

Такой подход хорошо оптимизирует работу, но насколько он безопасен?
Ведь атакующий может сформировать пакет с установленными битами RST и ACK...
Чем это может быть опасно?

Может лучше использовать keep-state?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "ipfw и established"  
Сообщение от max3 (??) on 21-Май-06, 00:48 
>Может лучше использовать keep-state?

:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ipfw и established"  
Сообщение от Evgeniy email(??) on 22-Май-06, 04:20 
>>Может лучше использовать keep-state?
>
>:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.
>

Подтверждения хочется. Кто-нить может аргументировать какие проблемы могут возникнуть при таком подходе?

Есть ли ограничение на количество динамических правил keep-state?
Если к серверу идет много обращений с разных IP на разные порты. Не станет ли серваку "плохо" при использовании keep-state?
Если правил не много, а подключения идут с разных IP на разные порты то использование keep-state наверно не очень актуально.

Может есть альтернативные, более интересные варианты?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ipfw и established"  
Сообщение от max3 (??) on 23-Май-06, 02:03 
>Есть ли ограничение на количество динамических правил keep-state?
>Если к серверу идет много обращений с разных IP на разные порты.
>Не станет ли серваку "плохо" при использовании keep-state?
>Если правил не много, а подключения идут с разных IP на разные
>порты то использование keep-state наверно не очень актуально.

Файрвол с динамическими правилами не теряет своих преимуществ при увеличении количества хостов/портов, т.к. его преимущество, - отсеивание пакетов, не инициированных правилами keep-state, - будет работать пока будет возможно создание правил. Т.е. интересен вопрос об ограничении на количество правил (net.inet.ip.fw.dyn_max) и на время хранения правил, но это может быть отрегулировано в sysctl.conf.

>Может есть альтернативные, более интересные варианты?

Интереснее будут файрволы, разбирающие контент протоколов более высоких уровней. Для stateful файрвола интереснее ничего не знаю.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру